Accueil Cybersécurité 23 millions de données d’entreprise laissés en accès libre par La Poste

23 millions de données d’entreprise laissés en accès libre par La Poste

L’équipe de recherche de vpnMentor, site de comparaison de VPN, vient de révéler une brèche de sécurité affectant Genius, une application Android développée par La Poste. Genius sert notamment de caisse enregistreuse dédiée aux commerçants français.
 
Le mercredi 11 décembre, Lisa Taylor, de l’équipe de recherche de vpnMentor, prévient Solutions Numériques : le site de comparaison de VPN a découvert « une fuite de données affectant Genius, une application développée par La Poste« .
 
Genius est une application de caisse sur tablette Android. Des fonctionnalités à la carte permettent de gérer un commerce : gestion des stocks, statistiques, soldes, programme de fidélité…
 
Un expert anonyme qui écrit pour vpnMentor, alias Guy Fawkes, indique sur le blog de vpnMentor, avoir pu accéder à cette base de données, Elasticsearch, utilisée par La Poste « parce qu’elle était complètement ouverte, non sécurisée et non cryptée« .  Il décrit 23 millions d’entrées qui comprenait notamment les données personnelles des utilisateurs de l’application (nom complet, adresse mail, numéro de téléphone…), des informations en lien avec leurs entreprises (inventaire, informations produits, transactions …) et les adresses mails de leurs clients.
15 Go d’informations sensibles
 

« Genius est une appli de caisse connectée qui intègre de nombreux processus différents afin d’aider les propriétaires de petits magasins. Les bases de données en question concernent principalement les paiements faits via l’appli« , précise le chercheur. « Avec plus de 23 millions enregistrements, il s’agit d’une énorme brèche de sécurité des données, et les utilisateurs de Genius dans toute la France sont désormais vulnérables« , prévient-il, ajoutant que si des hackers malveillants ont également découvert cette base de données, les « conséquences pourraient être désastreuses pour les personnes exposées« .
Selon vpnMentor, la base de données exposée n’a pas été suffisamment protégée, laissant s’échapper des informations sensibles, véritable mine d’or pour les criminels et les hackers malveillants. Elle contenait 15 Go d’informations critiques, provenant de PME françaises, mais aussi belges, suisses, italiennes ou encore espagnoles.

L’app Genius sur tablette tactile
D’importantes données utilisateurs visibles dans la base de données
  • Les noms complets, les adresses mail, les numéros de téléphone, les dates de naissance des utilisateurs de l’appli;
  • La ville de résidence de l’entreprise et les codes postaux des utilisateurs;
  • Des informations sur les produits vendus (étiquette, prix, code barre, etc) et les transactions faites via Genius;
  • Des informations sur les vendeurs (nom, email, numéro de téléphone);
  • Les factures envoyées aux clients et aux fournisseurs;
  • L’inventaire de l’entreprise utilisant Genius;
  • Des entrées test et réelles de produits;
  • Les adresses mails des clients ayant reçu une facture via Genius;
  • La valeur totale des transactions commerciales faites par une entreprise via Genius;
  • Le numéro de Siret des entreprises;
vpnMentor indique avoir fait la découverte le 11 novembre dernier, avoir ensuite contacté la Poste, leur entreprise d’hébergement et la Commission nationale de l’informatique et des libertés. Le site précise que la base de données a été fermée près de 3 semaines après leur premier contact avec la Cnil, soit le 8 décembre dernier. 
 

Quelles craintes pour les utilisateurs ?

vpnMentor évoque un certain nombre d’attaques rendues possibles par cette faille de sécurité.
En utilisant les données personnelles, ainsi que les données commerciales et financières, des criminels pourraient créer des campagnes de phishing efficaces, indique-t-il.
Autre possibilité entrevue par vpnMentor : « Les rapprochements comptables de fin de journée effectués par les utilisateurs de Genius indiquent le montant total de liquide présent sur les lieux. » Cela donne aux voleurs potentiels une idée « du meilleur moment pour cambrioler les locaux » et « y dérober de l’argent liquide« .
Autre impact possible : « Les utilisateurs de Genius pourraient être vulnérables à des actions malhonnêtes entreprises par leurs concurrents. Avec un accès aux analyses de données sur les ventes et la tarification, la concurrence pourrait proposer des offres plus compétitives« .